Первая уязвимость, получившая идентификатор CVE-2025-26465 , связана с логической ошибкой в коде OpenSSH-клиента в версиях с 6.8p1 по 9.9p1. Ошибка делает возможным проведение MitM-атаки, если включена опция VerifyHostKeyDNS. В таком случае злоумышленник может подменить серверный ключ и перехватить соединение, фактически выдавая себя за доверенный сервер. Данный баг присутствует в OpenSSH с декабря 2014 года.
Вторая уязвимость, CVE-2025-26466 , затрагивает как клиент, так и сервер OpenSSH, начиная с версии 9.5p1. Ошибка позволяет провести атаку на этапе предаутентификации, вызывая чрезмерное потребление памяти и процессорных ресурсов, что может привести к отказу в обслуживании. Эта уязвимость появилась в коде OpenSSH в августе 2023 года.
Эксперты предупреждают, что эксплуатация CVE-2025-26465 позволяет злоумышленникам скомпрометировать SSH-сессии и получить несанкционированный доступ к конфиденциальным данным. Однако есть важный нюанс: опция VerifyHostKeyDNS, необходимая для успешной атаки, по умолчанию отключена.
Что касается CVE-2025-26466, её многократное использование может привести к недоступности серверов, создавая серьёзные проблемы для администраторов и блокируя работу пользователей. Это делает уязвимость опасной для организаций, зависящих от стабильной работы SSH.
Обе проблемы были устранены в OpenSSH 9.9p2, выпущенной 18 февраля. Разработчики настоятельно рекомендуют обновить программное обеспечение, чтобы исключить риски эксплуатации.
Это уже не первый случай выявления серьёзных багов в OpenSSH. Семь месяцев назад Qualys обнаружила другую критическую уязвимость , известную как regreSSHion ( CVE-2024-6387 ), которая позволяла выполнить удалённый код с правами root на системах Linux, использующих glibc.